Red Seguridad 099

96 red seguridad cuarto trimestre 2022 monográfico hospitales 5.0 sición del personal médico. Estos, generalmente, cuentan con sistemas operativos obsoletos o mal configu- rados (por ejemplo, con permisos de administración, ausencia de políticas de bloqueos, conexiones USB desblo- queadas, etc.). Además, en ocasiones, están al alcance de posibles atacantes, pues están accesibles desde las zonas comunes o de fácil acceso (urgencias, cubículos de turnos médicos, sala de atención al público…), desprotegidos y sin personal delante. Estos equipos son, por tanto, un blanco fácil. También es muy común encontrar impresoras mal configuradas con con- traseña por defecto o utilizando protoco- los inseguros de envío de documentos. Esto, unido a que podemos encontrar conexiones a la red cableada de fácil acceso en zonas comunes y con poca protección, genera un riesgo de acceso a la red interna al alcance de atacantes que se encuentren dentro de las insta- laciones. Aunque el acceso a zonas restringi- das es algo controlado en un centro de salud, es cierto que está enfocado a lu- gares considerados de riesgo para el pa- ciente y la salud. En cambio, es muy co- mún que podamos acercarnos a zonas tecnológicas (centro de procesamiento de datos, Rack u otros) que se encuen- tran en estos sitios. Próximas o internas: Son frecuentes igualmente las redes WiFi mal configuradas, o mal segmen- tadas, y que permiten acceder a zonas o dispositivos médicos costosos y alta- mente sensibles de tecnologías o sis- temas operativos obsoletos, como ya hemos comentado. Estas redes también pueden permitir acceder a zonas de almacén, suministro o gestión, en las que una manipulación indebida podría ocasionar desabastecimiento, gestión inadecuada del material o incluso des- atención del paciente. Estas redes WiFi también se usan como redes de invitados inseguras, que ponen en riesgo también un punto que no siempre se tiene en cuenta: la segu- ridad de usuarios del centro o incluso de empleados que, en ocasiones y por descuido, las utilizan para comunica- ciones internas de su operativa diaria. Es común encontrar dispositivos con variados sistemas de conexión Wireless que poseen escasas medidas de pro- tección y protocolos obsoletos, permi- tiendo accesos a informaciones sensi- bles y a veces encadenar ataques hacia la red interna. A su vez, encontrarnos con múltiples dispositivos y redes de proveedores, fa- bricantes y servicios, en ocasiones no controlados, permite generar fácilmen- te redes falsas con el objetivo de enga- ñar y de obtener acceso no autorizado. Construyendo un camino Sabemos que queda mucho camino por recorrer, pero también que las em- presas del sector de la salud trabajan constantemente en su desarrollo tecno- lógico y en la seguridad de este en la medida en la que su capacidad inverso- ra lo permite. Muchas instituciones tam- bién trabajan en la creación de marcos para ayudar en este camino (por ejem- plo, HIPAA Security Rule del NIST, guías de buenas prácticas de la Agencia de la Unión Europea para la Ciberseguridad, ICS-CERT y sus avisos de vulnerabilida- des de dispositivos médicos, etc.). Resulta quizás pretencioso pedir que la inversión en seguridad y en desarro- llo tecnológico avancen a la par, pero debemos entender que la ciberseguri- dad de las tecnologías que ayudan a prestar los servicios sanitarios es ne- cesaria para que estos se presten con garantías y efectividad. Debemos ligar la ciberseguridad con la salud de las personas. Este cambio de mentalidad ayudará a priorizar ade- cuadamente las inversiones en este ámbito. De hecho, cualquier producto y proyecto tecnológico nuevo debería contemplar la ciberseguridad desde el inicio, aplicando el paradigma de seguridad por diseño o por defecto. Además, para la infraestructura ya ope- rativa, existen medidas que no son tan costosas y, sin embargo, sí altamente beneficiosas. Hay que dedicar tiempo y esfuerzo en el desarrollo e implementación de configuraciones seguras, al control del inventario tecnológico y de la informa- ción que se maneja, a crear zonas se- guras y políticas de protección para que los dispositivos no queden desatendi- dos o en manos maliciosas. Pero, sobre todo, es muy importante fortalecer la formación en ciberseguridad de todo el personal, también de terceros, hacién- doles entender que en sus manos recae también la salud y el bienestar de los pacientes y usuarios. Cualquier producto y proyecto tecnológico nuevo debe contemplar la ciberseguridad desde el inicio